sql语句中的变量表示

sitoto 2004-07-19 06:09:28

T1是上一页传的text值到当前页 Dim D1 =Request.form("T1")
在sql查询语句中如何表示变量T1如：”select * from table where item=D1“
这个item在access中是文本格式，该如何写这句sql语句？谢谢

...全文

211 11 打赏收藏转发到动态举报

写回复

用AI写文章

11 条回复

切换为时间正序

请发表友善的回复…

发表回复

sitoto 2004-07-20

打赏
举报

我试了一下将D1赋值为 "';create table asdf(id int)'" 结果攻击不能成功，它好像把“；”当作是结束符，是不是我使用的是access的原因？
另外我改为zhanqiangz(闲云野鹤)的
cmd.parameters.add("@item",request.form("t1").tostring)发现也可以使用,谢谢!
这条注入式攻击的语句是不是这样写的：
select * from table where item='""';create table asdf(id int);

langmafeng 2004-07-20

打赏
举报

最好用参数，其一可以防止注入式攻击，其二对特殊字符(如'等)不用自己处理了

sitoto 2004-07-20

打赏
举报

我对安全性不了解，
net_lover(孟子E章)的
"select * from table where item='" +D1 + "'" 确实可行，如果这个语句查询有会遭到攻击，是不是要用
zhanqiangz(闲云野鹤)
dim strcmd as string="select * from table where item=@item"
dim cmd as new sqlcommand(strcmd,cnn)
cmd.parameters.add("@item",request.form("t1").tostring) ？？？

sitoto 2004-07-20

打赏
举报

谢谢各位的指点!让我获益匪浅啊!

mooniscrazy 2004-07-19

打赏
举报

万万不可用这样的，"select * from table where item='" +D1 + "'"
因为会被人插入Sql攻击
比如D1="';create table asdf(id int)--";

he_hawk 2004-07-19

打赏
举报

很简单

SQL中所有字符串查询都要加单引号的
日期的也加
数值的不用加

maxwelling 2004-07-19

打赏
举报

"select * from table where item='" +D1 + "'"
数字请用：
"select * from table where item=" +D1 + ""

Overriding 2004-07-19

打赏
举报

dim strcmd as string="select * from table where item=@item"
dim cmd as new sqlcommand(strcmd,cnn)
cmd.parameters.add("@item",request.form("t1").tostring)

besttian 2004-07-19